Le 17 juin 2021, le gouvernement de l’Ontario a publié un livre blanc qui résume les propositions relatives à un projet de loi éventuel sur la protection de la vie privée dans le secteur privé de cette province. Ces propositions, si elles sont adoptées et deviennent loi, apporteraient d’importants changements aux obligations en matière de protection de la vie privée qu’ont les entreprises qui recueillent, utilisent et divulguent des renseignements personnels en Ontario.
À l’heure actuelle, l’Ontario ne dispose pas d’une loi d’application générale sur la protection de la vie privée dans le secteur privé. Les organisations du secteur privé de cette province (autres que celles du secteur de la santé) sont actuellement régies par la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») (Canada), mais seulement en ce qui a trait aux renseignements personnels recueillis dans le cadre de leurs activités commerciales. Par exemple, les employeurs réglementés par la province de l’Ontario ne sont pas assujettis à une législation en matière de protection de la vie privée relativement à leur traitement des renseignements personnels des employés à des fins d’emploi. De façon similaire, les organisations non commerciales en Ontario, telles que les organismes de bienfaisance, les syndicats, les associations et autres organismes sans but lucratif, ne sont assujetties de façon générale à aucune loi en matière de protection de la vie privée. Une loi en matière de protection de la vie privée visant le secteur privé de l’Ontario régirait vraisemblablement toute organisation non gouvernementale dans la province, y compris en ce qui a trait aux renseignements des employés.
Dans son livre blanc, le gouvernement de l’Ontario fait mention de nombreuses lacunes relevées dans le projet de loi C-11 du gouvernement fédéral visant à mettre à jour la législation fédérale en matière de protection des renseignements personnels applicable au secteur privé. Plusieurs réformes proposées dans le livre blanc visent à combler directement ces lacunes. Veuillez vous reporter à notre bulletin précédent pour un sommaire des obligations prévues au projet de loi C‑11.
Au nombre des réformes envisagées, les propositions du gouvernement de l’Ontario renforceraient les obligations des organisations du secteur privé conformément au Règlement général sur la protection des données de l’UE, introduiraient des obligations spéciales lorsque les organisations utilisent des technologies d’intelligence artificielle (« IA ») et habiliteraient le commissaire à l’information et à la protection de la vie privée de l’Ontario (le « commissaire ») à émettre des ordres contraignants et des amendes aux organisations qui ne sont pas conformes à la loi.
Plus particulièrement, le livre blanc propose plusieurs exigences accrues à l’égard des entreprises exerçant des activités en Ontario, notamment les suivantes :
Modifications aux exigences en matière de consentement
-
Mettre en place des exigences spécifiques pour que le consentement exprès soit considéré valide, y compris des politiques en matière de protection de la vie privée en langage clair, l’identification de la base juridique sur laquelle repose la collecte des renseignements personnels, ainsi que des processus clairs pour les particuliers quant à l’exercice de leurs droits.
-
Permettre aux organisations de collecter ou d’utiliser des renseignements personnels sans consentement lorsque certaines exigences sont satisfaites, y compris pour des activités commerciales lorsque les renseignements ne sont pas recueillis en vue d’influencer les décisions ou le comportement des particuliers.
Nouvelles limites relatives à la collecte, à l’utilisation et à la communication des données
-
Modifier les limites applicables à la collecte et à l’utilisation des renseignements personnels pour y inclure des fins justes et appropriées dans les circonstances en exigeant que les organisations déterminent si l’utilisation de ces renseignements est nécessaire pour répondre à leurs besoins légitimes.
-
Interdire la collecte et l’utilisation de renseignements personnels de particuliers âgés de moins de 16 ans dans le but d’influencer leur comportement ou à des fins susceptibles de causer un préjudice grave.
-
Mettre en place des processus favorisant une « approche de la protection de la vie privée fondée sur les droits », y compris des droits d’accès, de rectification, d’élimination et de mobilité pour tout renseignement personnel, y compris les renseignements personnels déduits au sujet d’un particulier.
Obligations particulières visant les systèmes d’IA
-
Interdire l’utilisation des technologies d’IA pour exploiter les données des enfants.
-
Exiger que les organisations exploitant des systèmes d’IA à des fins de profilage et de prise de décision à l’égard de particuliers fournissent une explication claire de la décision, y compris du traitement des renseignements personnels ayant mené à cette décision.
-
Mettre en place des processus permettant aux particuliers de corriger, de commenter et de contester une décision prise par un système d’IA et de demander qu’un examen de la décision soit réalisé par un être humain au sein de l’organisation.
-
Améliorer les exigences en matière de tenue de dossiers concernant l’utilisation des systèmes d’IA en fonction de la taille de l’organisation ou de la nature sensible des renseignements personnels traités.
Nouvelle approche pour l’utilisation des données à des fins de recherche
-
Mettre en place une approche axée sur le risque pour l’utilisation de renseignements dépersonnalisés. Cette approche obligerait les organisations à utiliser des protocoles de dépersonnalisation proportionnels à la sensibilité des renseignements personnels.
-
Exempter les renseignements anonymisés de l’application de la loi ontarienne en matière de protection de la vie privée dans le secteur privé.
Outre ces nouvelles exigences, le livre blanc propose l’élargissement du rôle du commissaire. Selon les propositions, le commissaire aurait l’autorité d’établir des codes de pratique obligatoires et d’administrer des programmes de certification. En cas de violation de la loi, le commissaire aurait le pouvoir de lancer des enquêtes, d’obliger les organisations à fournir des documents, et d’émettre des ordres contraignants et des sanctions pécuniaires d’un maximum de 10 M$ CA ou équivalant au montant correspondant à 3 % du revenu global brut de l’organisation. Il est également proposé qu’une disposition prévoit des infractions statutaires pour certaines contraventions, notamment lorsqu’une organisation omet de signaler une violation des mesures de sécurité au commissaire ou de tenir un registre de chaque violation des mesures de sécurité. Une organisation reconnue coupable d’une telle infraction serait passible d’une amende de 25 M$ CA ou équivalant au montant correspondant à 5 % de son revenu brut global.
Le gouvernement de l’Ontario invite les organisations, les intervenants touchés et le public à lui fournir des commentaires par courriel au sujet de ces propositions. La date limite pour lui faire parvenir des commentaires est le 3 août 2021.
Pour en savoir davantage, communiquez avec :
Wendy Mee 416-863-3161
Ellie Marshall 416-863-3053
ou un autre membre de notre groupe Protection de la vie privée et des données.
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.